Източване на пари от банкова сметка чрез хакване на интернет банкиране и успешно оспорване на неоторизирана банкова транзакция онлайн

Време за прочитане : 4 минути
 

Както всеки ден, влизате от собствения си компютър в личния или фирмения профил за интернет банкиране и с ужас установявате, че е налице неоторизирана транзакция и източена банкова сметка. Това не е сценарий за нов филм, а един неприятен, но все по-често срещан случай при използване на онлайн банкиране. Настоящата статия разглежда източването на пари от банкови сметки чрез хакерски атаки, мерките за предпазване и опциите за ефективно възстановяване на щетите от подобна кражба в резултат на неоторизирана банкова транзакция. Интернет банкирането бива основно 2 вида – активно, при което могат да се правят нареждания на суми онлайн, и пасивно, при което единствено може да се следят движения по сметки и да се правят справки онлайн, но не и да се извършва разпореждане със суми. Източването на банкови сметки посредством хакерски атаки е възможно само в първия случай. Теоретично е възможно източване и при пасивно банкиране, но авторът не е запознат с такъв случай.

При активното онлайн банкиране неминуемо се ползват потребителско име и парола за съответния профил. Но освен това абсолютно всяка банка в България предлага един слой допълнителна защита. Това обикновено са квалифицирани електронни подписи, специални цифрови сертификати на съответната банка, PIN или SMS кодове, предварително генерирани и разпечатани на хартия TAN кодове, или генерируеми на момента и в реално време TOKEN кодове. В последния случай на съответния клиент на онлайн банкирането се предоставя хардуерно устройство, т.нар. TOKEN (известно като токен или тоукън). Това устройство генерира уникални кодове в реално време с минимална трайност, обикновено в рамките на 1 минута. Идеята е единствено държателят на това устройство, който би следвало да е оторизиран потребител на онлайн банкирането, да може да извършва банкови транзакции. Дори хакерска атака напълно да компрометира компютъра или електронното устройство на потребителя посредством инсталирането на зловреден код (вирус, троянски кон или друг малуеър) и дори потребителското име и паролата да бъдат откраднати – съответният хакер или неоторизиран потребител в най-добрия случай ще може да влезе в клиентския профил, но не и да нареди транзакция, защото за тази цел е нужен код, генериран от TOKEN устройството, което чисто физически няма как да се намира в ръцете на хакерите.

Изпращането на SMS кодове на телефона на потребителя, титуляр на интернет банкирането, се смята за изключително сигурна опция за допълнителна защита. В такава хипотеза потребителят въвежда потребителско име и парола при нареждане на банкова транзакция, а банката генерира и му изпраща код под формата на SMS съобщение на мобилния му телефон, който код следва също да бъде въведен, наред с потребителско име и парола, за да бъде транзакцията извършена. Ако телефонът е у собственика му, а не в ръцете на хакер, единият начин за заобикаляне на защитата е чрез фишинг атака, разгледана в следващия абзац. Друг, поначало доста по-труден за изпълнение начин, обаче се оказа, че е напълно приложим на практика в България, когато в края на 2021 беше разкрита престъпна схема за източване на банкови сметки чрез клониране на SIM карти на мобилни оператори. Клонирането всъщност представлява активиране на нова SIM карта, която хакерът поставя в своя собствен мобилен телефон, на който пък получава всички SMS кодове за авторизация, а оттам нататък е лесната част. И тук изниква въпросът – кой носи отговорността и за чия сметка са финансовите загуби в резултат на подобна измама? Със сигурност и банката, и мобилният оператор ще се опитат да измият ръцете си с потребителя. И не е изключен вариант, напр. при груба небрежност, при който наистина потребителят, независимо дали обикновен гражданин или бизнесмен, понася цялата отговорност и всички финансови загуби. Затова е повече от препоръчително, още в началния етап на осъществяване на престъпната схема, пострадалото лице да се консултира с опитен адвокат, който знае какво следва да бъде направено и запазено като доказателства, за да бъде пострадалото лице впоследствие напълно обезщетено за всички загуби. Компетентен адвокат може да се намеси напълно ефективно и на по-късен етап, но принципът е, че колкото по-рано – толкова по-добре.

TOKEN устройството предоставя още по-сигурна защита, защото не може да бъде клонирано както SIM картите на мобилни оператори. Но е напълно възможно кодовете да попаднат в ръцете на хакер чрез т.нар. ФИШИНГ (PHISHING) атака. При фишинга хакерите правят абсолютно или поне максимално точно визуално копие на оригиналния сайт за интернет банкиране, но всъщност сайтът не е на съответната банка, а под контрола на хакерите. Класически случай представлява изпращането на имейли, в които се съдържа покана за предприемане на определени действия (напр. потвърждаване на информацията в профила за онлайн банкиране), често придружена със заплаха от неблагоприятни последици (напр. закриване или изтриване на профила, ако бездействате). Чисто визуално, на имейл съобщението е придаден вид, че изхожда от съответната банка, но ако се вгледате в адреса на подателя, веднага бихте забелязали нещо нередно – напр. вместо някаквоиме@ibank.bg, в полето за изпращач ще прочетете ibank@каквотоидае.bg. Това е най-сигурният белег, че се касае за опит за измама. Освен това сигурно ще може да видите връзка от сорта на https://ibanking.ibank.bg/, но при щракването на връзката ще се отвори съвсем друг адрес. На който разбира се ще се зареди страница, която визуално изглежда точно като оригиналната страница на съответната банка. Значи вече сте влезли в сайт, под контрола на хакери, но си мислите, заблудени от дизайна, че сте на автентичния сайт на Вашата банка. И въвеждате всички данни, необходими за влизане във Вашия профил. Обаче не влизате в профила на интернет банкирането, а излиза каквото и да е друго съобщение, обикновено за грешка 404 или временна недостъпност на страницата поради системна поддръжка. Видите ли такова съобщение, тогава значи хакерите вероятно вече разполагат с всички данни, необходими за извършването на неоторизирана банкова транзакция онлайн.

Когато „белята“ вече е станала, все още не е прекалено късно. Следва обаче веднага да направите едно нещо – незабавно да се обадите на Вашата банка, която незабавно да блокира профилът Ви в онлайн банкирането, за да не могат да се извършват транзакции. Ако не направите това, вероятно съвсем скоро ще разберете, че сте наредил определена сума на определено трето лице, което не познавате. И вероятно ще бъде образувано полицейско производство, по което ще бъде установено, че някое трето лице, т.нар. бушон или муле, е изтеглило в брой въпросната сума, с която Вие сте „олекнали“ и я е предало на непознати нему трети лица, които са му оставили нищожна част от сумата като вид възнаграждение за извършената от него услуга по получаване на превод от непознато лице и предаването му в брой на друго непознато лице. Хакерите, разбира се, ще останат неразкрити, а изтеглилото и предало им сумата лице меко казано няма да е в добро финансово състояние и съответно няма да има смисъл въобще да се опитвате да си възстановите сумата от него.

Предвид горното, очевидно загубата ще трябва да бъде понесена или от банката, или от клиента. Или с други думи единствената възможност за клиента да възстанови сумата, източена от банковата му сметка, остава оспорването на неоторизираната банкова транзакция. Банката, разбира се, в масовия случай ще прехвърли вината върху клиента, дори евентуално ще вземе компютъра или електронното му устройство за експертиза, в резултат на която ще достигне до извод, че клиентът не е положил дължимата грижа съгласно договора за ползване на онлайн банкиране или общите условия към него и предвид това… няма да му възстанови източената неправомерно сума. Обикновено следват жалби до съответния надзорен орган, който обаче нерядко прехвърля топката обратно към банката и нейния клиент и така се стига до една задънена улица. А изходът от нея е надлежното оспорване на неоторизираната банкова транзакция по съдебен ред или казано с други думи – завеждане на дело срещу банката. Обикновено отпорът от страна на банката е твърд – пълен отказ за споразумение или комуникация дори. Впоследствие, при завеждане на дело, насрочване на съдебни заседания и назначаване на експертизи, съответната банка има опции да започне да „омеква“ и да предлага компрамисно споразумение на клиента, чийто адвокат е поставил доста „неудобни“ въпроси на вещото лице по делото, чиито отговори пък са още по-смущаващи за защитната теза на банката. И така е напълно възможно да се стигне до момента, в който банката сама моли за извънсъдебно споразумение за възстановяване на клиента на цялата източена от сметката му сума плюс целия заплатен адвокатски хонорар и всички направени в съдебното производство разноски, само и само да не се стигне до постановяването на съдебно решение.

Регистрация на онлайн аптека и изисквания за продажба на лекарства по интернет

Време за прочитане : 2 минути
 

Продажбата на лекарства по интернет е поредният клон на онлайн търговията, който претърпя бурно развитие по време на пандемията от COVID-19. При поръчка в онлайн аптека, всеки може да закупи определени лекарства и хранителни добавки, без да се налага физически да посещава аптека, а основното ограничение при регистрацията и работата на аптеките онлайн е, че имат право да продават по интернет само лекарства, за които не се изисква рецепта. Така например, пациент не може да се снабди легално напр. с антибиотици, които обикновено са предписвани от личните лекари.

За да може да функционира законосъобразно една онлайн аптека, тя първо трябва да бъде регистрирана надлежно, а след това има законови и подзаконови изисквания, на които трябва да отговаря. Част от тях са валидни за всички онлайн търговци – напр. касаещи сключване на договори от разстояние, защита на потребителите, защита на лични данни (които в случая са чувствителни и изискванията са специални, а санкциите са по-високи) – но други са специфични точно за тази дейност, напр. задължителна регистрация на интернет сайта в Изпълнителната агенция по лекарства (ИАЛ) и т.н. В сайта на ИАЛ има публичен регистър с всички регистрирани онлайн аптеки, така че ако пациент не е сигурен дали и откъде да поръча някое лекарство онлайн, може да направи бърза справка за лиценза на дадена онлайн аптека и да направи поръчка или пък да подаде сигнал за незаконна дейност на онлайн търговец на лекарства.

Особено съществено изискване за откриването на онлайн аптека и нейната регистрация е нейният собственик да има разрешение за продажба на лекарствени продукти на дребно, т.е. да е собственик на офлайн аптека. Друго специфично изискване е задължението по Наредба за предоставяне на консултации във връзка с дейността. Наред с това, собственикът трябва да разполага и със специални превозни средства, които да осигурят максимална защита на лекарствените продукти, предлагани в интернет аптеката. Има и изискване за доставка в рамките на 24 часа.

В последно време, поради все повече увеличаващият се брой интернет аптеки, върху тяхната дейност започна да се упражнява все по-строг контрол. В тази връзка, както всеки онлайн магазин, аптеката трябва да има прецизно изготвени Общи условия, задължителна Политика за защита на личните данни, както и други специфични документи, защото именно в тази насока проверките от страна на надзорните органи са най-чести. В същото време сравнително масово онлайн аптеките нямат изготвени специално за тях и подходящи за дейността им такива задължителни документи, а има и такива, които копират подобни документи от други сайтове, но всички тези пропуски няма как да не бъдат констатирани от проверяващите органи, които налагат съответните санкции, които обикновено са в размер на няколко хиляди лева. Затова е препоръчително съгласуването на работата на онлайн аптеката между няколко категории експерти – IT специалисти, които поддържат сайта, счетоводители, които осчетоводяват поръчките и транзакциите, и юристи, които съгласуват с предходните 2 фигури и собственика на бизнеса наложителни от законова гледна точка промени във функционирането на сайта.

Както при всеки друг сайт за онлайн търговия, онлайн аптеката също има нужда от изготвяне на важна документация, съобразена изцяло с настоящото национално и европейско законодателство, с цел търговецът да не бъде подложен на имуществени санкции поради несъответствие на сайта си със законовите изисквания. И в тази връзка, дори вече да имате изготвен и функциониращ сайт за продажба на лекарства, препоръчително е компетентни лица в областта на приложимото законодателство да направят правен одит и да дадат компетентно становище какво следва да бъде ревизирано на сайта, така че рискът от санкции от надзорните органи да бъде сведен до нула. Юридическият одит обикновено струва многократно по-малко от дори от първата и най-лека санкция, която може да бъде наложена от проверяващи органи, а освен него, адвокат с опит в електронното право би могъл, срещу повече от приемлива месечна такса да сключи официален договор с онлайн аптеката, по силата на който да предоставя текущи правни консултации при всеки възникнал въпрос или проблем и да бъде официален контакт с надзорните органи в случай на проверка.

Електронно правосъдие – подаване на документи до съда и получаване на призовки и уведомления по електронен път

Време за прочитане : 3 минути
 

Усъвършенстваната електронна среда по света и у нас накараха дори и съдът да въведе възможност за подаване и за получаване на съдебни книжа дистанционно – по електронен път. Макар и все още малко неясно и някак недовършено, електронното правосъдие вече е факт у нас от началото на месец юли 2021г. Промените в ГПК бяха приети още в края на миналата година, след поредната вълна от коронавируса и масовите апелации от страна на властите да не се ходи до различните държавни институции, вкл. съдилищата, ако не е наистина необходимо. Както можем да разберем, все пак е нужно известно технологично време за влизане в действие на новите възможности. И така, какво предвиждат те?

Още преди повече от година Висшият съдебен съвет (ВСС), заедно с Министерството на правосъдието създадоха така наречения „Единен портал за електронно правосъдие“ (ЕПЕП). Този портал дава възможност, след регистрация, страните по конкретните съдебните дела да виждат всички документи в сканиран вид. Т.е. поне в тази насока не се налага за всяко нещо да се ходи до съда и да се преглеждат материалите по делото, за да може страната или неин представител (най-често адвокат) да се запознае с поредната молба на ответната страна, разпореждане или постановление на съда. Тук разбира се, все още не е напълно избегната опасността да не се виждат абсолютно всички документи, тъй като това зависи от човешкия фактор, който трябва да снеме копие от всеки документ по делото и да го „качи“ в портала. Така че на този етап все още не можем да бъдем напълно сигурни, че виждаме всичко без да излизаме от вкъщи или от офиса. От друга страна, през последните месеци вече почти всички съдилища в страната вече са технически свързани с ЕПЕП, с изключение на Административен съд – София област, Административен съд – Смолян и Военно-апелативния съд. Така, във всеки един друг съд може да се направи регистрация на профил в портала. За достъп до конкретно дело обаче страните трябва да подадат заявление до съда, който разглежда делото им. Отделно от достъпа до книжата по делото, страните имат възможност да посочат дали са съгласни да получават призовки също чрез ЕПЕП. Разбира се, ако някой не е съгласен с това, призовката му ще бъде изпращана по старомодния начин – на хартия, чрез помощта на призовкар.

 Нека да разгледаме опциите, които предоставя електронното правосъдие. Според промените в ГПК връчването на съдебни книжа може да се извърши по четири начина: 1) чрез ЕПЕП; 2) чрез квалифицирана услуга за електронна препоръчана поща; 3) чрез посочена електронна поща или 4) на хартия на настоящия или при липса на такъв, на постоянния адрес на страната. Трябва да имате предвид, че различните опции доказват по различен начин момента на връчването, което в съдебното производство е изключително важно с оглед упражняване правата на страните. Така например, ако съобщението е връчено чрез ЕПЕП (ако страната е дала изричното си съгласие за това) или чрез квалифицирана услуга за електронна препоръчана поща, съобщението се счита за връчено от момента на изтеглянето му. Ако обаче в 7-дневен срок съобщението не бъде изтеглено от неговия адресат, то се счита за автоматично връчено на следващия, 8-ми ден от изпращането му. Този срок важи и ако съобщението от съда е изпратено на обикновената електронна поща на адресата. В този случай обаче има разлика от кой момент започва да тече – не е от изтеглянето, а от потвърждението на получаването му. Ако потвърждение липсва, връчено се счита на 8-мия ден от изпращането.

По време на въведените сериозни ограничения миналата година, съдилищата масово издаваха заповеди страните по делата, както и техните представители, да подават документите си дистанционно. Тогава те обявяваха на кои именно служебни съдебни имейли можеше да се прави това, като разбира се документите трябваше да са подписани с квалифициран електронен подпис (КЕП). След влизане в сила на промените в ГПК повечето съдилища продължиха да използват тази практика – да приемат електронни изявления по имейл. Районен съд – Пловдив обаче изрично отказва, като за целта се позовава на вътрешна заповед, според която електронни документи трябва да бъдат изпращани само чрез ЕПЕП (което към момента все още няма такава осигурена физическа възможност) или чрез системата за сигурно електронно връчване на Държавна агенция „Електронно управление“. Изрично в съобщението на съда се подчертава, че „електронни документи, изпратени от служебни и лични имейли, извън посочените по-горе два начина, няма да бъдат приемани и администрирани“. Това съобщение, което е напълно възможно да е обявено и от други съдилища, смятаме че е в разрез със законодателните норми. В Наредба № 6 на ВСС, макар и по изключение (което не е пояснено в какво се изразява), е предвидена възможност за изпращане на книжа от страна по делото на електронен адрес на съда. Също така, в ГПК е посочено, че съдът не може да откаже да приеме действия в електронна форма, ако изявленията са подписани с КЕП.

Отделно от това, с времето се установи, че в системата ЕПЕП реално има известно забавяне. Така например, е много възможно призовкар да дойде на място и да Ви връчи определение, разпореждане на съда по делото или препис от молба на насрещната страна преди реално тя да е качена в електронното дело. Това, от своя страна, води до извода, че към този момент очевидно ЕПЕП не е толкова надежден източник за своевременна информация.

И не на последно място следва да бъде отбелязан и друг съществен факт – таксите. За образуване на едно дело, за назначаване на някакъв вид съдебна експертиза, се дължи внасяне на държавна такса по сметка на съда. Има обаче и случаи, в които едната страна по делото депозира молба до съда, от която обаче трябва да бъде връчен препис (копие) на насрещната страна. Обикновено, ако тази молба е подадена на място в съда или по пощата, се прилага и копие, което да бъде връчено на другата страна. Когато обаче се използва възможността за изпращане на изявления чрез ЕПЕП например, страната подава конкретния документ, който логично, трябва да бъде разпечатан и да бъде изпратен на страната по делото (става дума за преписа), ако тя не е изявила желание да получава документи чрез същата система. Така е записано и в ГПК: „Към електронните изявления преписи за страните не се представят“. За това действие от страна на съда, страната, която е подала молбата си онлайн, заплаща такса на брой страници, съответно 2 лева за първа и по 1 лев за всяка следваща страница. Реално, по-изгодно излиза на страната да си изпрати молбата, заедно с преписа за другата страна по пощата.

Законът и криптовалутите – правила и изисквания за търговия

Време за прочитане : 3 минути
 

Закон за виртуалните валути, базирани на блокчейн (blockchain) технологията, все още няма, нито в България, нито в ЕС, нито в някоя друга развита държава, въпреки че търговията с криптовалути (Bitcoin, Ethereum и др.) процъфтява вече години наред. Надзорните органи в различните държави издават спорадични указания, препоръки и предупреждения, но това няма нищо общо със създаването на правнорегламентирана рамка, към която криптотърговията да се придържа, за унифицирани законови изисквания да не говорим.

Имайки предвид горното, малките и индивидуалните играчи на криптопазара обикновено не предприемат никакви мерки за съответствие със законодателството и това е донякъде оправдано, защото за това се изискват допълнителни разходи. При малко по-големите и средни играчи на пазара на виртуални валути обаче е препоръчително вземането на превантивни мерки, които могат да им спестят между малко и много главоболия с всевъзможни държавни институции за в бъдеще. Дори криптовалутите да не са изчерпателно и прецизно регламентирани в действащото българско и европейско законодателство, това не означава, че напр. НАП няма да направи данъчна ревизия, в рамките на която да установи с ревизионен акт немалки приходи и оттам и неплатени данъци от страна на задълженото лице. Или пък от финансовото разузнаване към ДАНС няма да почукат на вратата във връзка с непредприети дори само на хартия мерки срещу изпирането на пари. Или пък Комисията за защита личните данни (КЗЛД) за изиска от задълженото лице документация за съответствие и изпълнение на законовите изисквания.

Може би е излишно да бъде въобще споменавано, че първата задължителна стъпка в тази насока е регистрацията на дружество с ограничена отговорност (ООД или ЕООД) или акционерно дружество (АД или ЕАД), защото съгласно Търговския закон (ТЗ) лицата, които извършват търговска дейност по занятие, дори да не са регистрирали абсолютно нищо, се приема, че са еднолични търговци (ЕТ). А при ЕТ първо данъчното облагане е по-неблагоприятно и освен това търговецът отговаря с цялото си лично имущество за задълженията си.

Следващата стъпка е начертаването на бизнес модела, в съответствие с който ще бъде извършвана на практика дейността по търговия с криптовалути. Същият е силно препоръчително да бъде съгласуван с адвокат и счетоводител. Най-малко препоръчителен е вариантът, при който се пробва нещо дали работи и след като се установи, че работи безотказно (само от техническа страна обаче), допълнителни мерки от правно или счетоводно естество не се вземат, поне докато не дойдат на посещение компетентните органи и връчат предписание, акт за установяване на административно нарушение, наказателно постановление или друг акт. Добър компромисен вариант е как нещо работи да бъде изпробвано от индивидуален акаунт, който впоследствие да не бъде използван в дейността по търговия с виртуални валути.

Законът за мерките срещу изпирането на пари (ЗМИП) е първият нормативен акт, който следва да бъде съобразен от търговците на криптовалути при извършваната от тях дейност. Там се съдържа и първият опит за легална дефиниция в българското законодателство на понятието виртуални валути – „цифрово представяне на стойност, която не се емитира или гарантира от централна банка или от публичен орган, не е непременно свързана със законово установена валута и няма правния статут на валута или на пари, но се приема от физически или юридически лица като средство за обмяна и може да се прехвърля, съхранява и търгува по електронен път.“. Съгласно най-новите точки на чл. 5 от ЗМИП задължени и съответно подлежащи на санкции по закона са лицата, които по занятие предоставят услуги за обмяна между виртуални валути и признати валути без златно покритие, както и доставчици на портфейли, които предлагат попечителски услуги (физическо или юридическо лице или друго правно образувание, което предоставя услуги за опазване на частни криптографски ключове от името на своите клиенти за притежаването, съхраняването и прехвърлянето на виртуални валути). В зависимост от обема и сложността на извършваните от криптотърговеца операции следва да бъде изготвена и съответната документация, която следва да е налична при поискване от компетентните органи.

Следващият акт, който следва да бъде съобразен при търговията с криптовалути е ЗЗЛД и европейският регламент GDPR. Същите не поставят в прав текст изисквания към търгуващите с криптовалути, но същите произтичат от извършваната дейност. Имайки предвид, че дори само имейл адресите без други съпътстващи данни спадат към категорията „лични данни“, то просто няма как ЗЗЛД да бъде заобиколен, дори когато става дума за търговия със съпътстващо високо ниво на анонимизиация като криптотърговията.

И на последно място сред органите, контролиращи търговията с виртуални валути, се нареждат органите на приходната администрация в лицето на НАП. В тази връзка някои биха се изненадали да разберат, че въобще в законодателството съществува една Наредба № Н-9 от 07.08.2020 г. на министъра на финансите, съгласно която съществува публичен регистър към НАП, в който криптотърговците следва да бъдат вписани. Но следва да се има предвид, че не е толкова важно самото формално вписване в този регистър, колкото „изпипването“ на бизнес модела и дейността, така че данъчната администрация да няма за какво да се „хване“ при упражняването на контрол върху криптотърговците. Въпросното вписване в регистъра е важно да се отбележи, че следва да бъде извършено преди започване на дейността.

Нарушение сигурността на лични данни и санкциите от КЗЛД при хакерска атака, пробив или изтичане

Време за прочитане : 3 минути
 

Нарушение на сигурността на данните по смисъла на GDPR (ОРЗД) и ЗЗЛД може да е налице при онлайн или офлайн пробив в сигурността. За да е налице пробив или изтичане, трябва да сме изправени пред един или няколко от следните резултати:

  • Унищожаване – данните не могат вече да бъдат изцяло или частично разчетени, напр. лоши или форматирани сектори на твърд диск или изгорени хартиени документи
  • Загуба – данните са налични, но администраторът няма достъп до тях, напр. кражба на компютър или изгубена от служител по път за работа флашка
  • Промяна – данните са налични, но неточни, напр. злонамерено променени стойности на резултати от медицински изследвания, счетоводни одити, IBAN номера на банкови сметки и др., осъществени от неоторизирано лице
  • Неразрешено разкриване – данните са непокътнати и администраторът има достъп до тях, но са нерегламентирано разпространени, вкл. публично, въпреки че са поверителни, напр. публикуване в онлайн пространството на откраднати от болница здравни досиета на пациенти, номера на кредитни карти, потребителски имена и пароли и т.н.
  • Достъп – същото като по предходната точка, с тази разлика, че не са разпространени, напр. хакер или неоторизирано лице са прочели трудовите договори или служебната имейл кореспонденция на служители в дадена фирма, без да ги правят достояние на трети лица

Офлайн пробивът може да бъде констатиран на практика безпогрешно и в повечето случаи включва човешка намеса – напр. кражба на документи, лаптоп, компютърна конфигурация, NAS сървър, твърд диск (HDD/SSD), оптичен диск (CD/DVD), флаш памет (USB storage) и др. аналогови или цифрови носители, но може да е и напр. резултат от природни или други бедствия като пожар или наводнение. Пробивът може да засегне както цифрови носители, върху които са записани данни, като изброените по-горе, така и аналогови, напр. разпечатани на хартия същите тези данни. Крадецът може да открадне както флашка, на която са записани лични данни на служители, така и класьор с принтирани на хартия същите тези данни, а в резултат на пожар или наводнение могат да бъдат безвъзвратно повредени и двата вида (цифров и аналогов) носители, върху които са записани лични данни.

Онлайн пробивите изискват повече технически знания, но са и по-опасни, защото много често остават незабелязани. Ако дадено лице осъществи неоторизиран достъп до данни офлайн, напр. в архива на фирмата, до което помещение няма право на достъп, поведението му може да бъде забелязано от служители във фирмата или от охраната, оперираща CCTV видеонаблюдение. В аналогична ситуация, но в онлайн среда, неоторизираното лице (хакер) може да осъществи достъп до поверителни лични данни в много случаи напълно незабелязано, особено ако фирмената мрежа, хардуер и софтуер не се поддържат професионално, напр. неправилно конфигуриран файъруол (firewall), липса на антивирусна защита, лог файлове (log files), които се изтриват автоматично в много кратки срокове и т.н.

Ако сигурността на личните данни е била нарушена, чл. 33 от GDPR изисква надзорният орган, в случая Комисията за защита на личните данни (КЗЛД), да бъде уведомен в 3-дневен срок (72 часа) от администратора на лични данни. Ако обработващ лични данни установи пробив, следва да уведоми администратора, който от своя страна пък да уведоми КЗЛД. Ако бъде установено, че е налице висок риск, следва да бъдат уведомени и съответните субекти на лични данни. Пробивът задължително трябва да бъде отбелязан в регистъра на нарушенията на сигурността на личните данни, които администраторът е длъжен да води. Задължително следва да бъде уведомено длъжностното лице по защита на данните (ДЛЗД или DPO), ако такова е било назначено. Ако не е било назначено, препоръчителна е незабавна консултация със и съдействие от специалист в материята на защитата на личните данни, защото неговият опит, преценка и съвети могат да спестят много хиляди левове санкции (максимално до 10 млн. евро или 2% от годишния оборот съгласно GDPR), които могат да бъдат наложени от надзорния орган дори само за неуведомяване или некоректно уведомяване.

Ето и част от въпросите, от отговора на които зависи дали е налице нарушение на сигурността на личните данни и ако е, каква е неговата тежест и респ. вероятна имуществена санкция в ущърб на администратора на лични данни:

  • Съставлява ли дадено злонамерено или неоторизирано действие нарушение на сигурността на личните данни. Защото е възможно да е успешно осъществена хакерска атака, но същата да не съставлява нарушение по смисъла на GDPR, напр. един от най-популярните типове хакерски атаки (DDoS) може само временно да доведе до загуба на достъп до данни.
  • Съществува ли вероятност нарушението на сигурността на личните данни да породи риск за правата и свободите на физическите лица. Ако бъде направена правилна, професионална и юридически издържана преценка, че няма риск за субектите на данни, тогава органът може да не бъде уведомяван.
  • Представлява ли нарушението на сигурността на данните висок риск за засегнатите лица – субекти на данни. Ако представлява, същите следва да бъдат уведомени, в допълнение към уведомлението до КЗЛД.
  • Каква информация да бъде първоначално предоставена на надзорния орган. Защото законът допуска поетапно предоставяне на информация на органа, което може да е от неимоверно голяма полза за администратора, ако знае как да се възползва.
  • Описание на нарушението и евентуалните негови последици. Ако нарушението е повече от категорично доказано и не подлежи на никакво съмнение, как точно ще бъде описано то е може би най-важният за администратора на лични данни въпрос, който има пряка връзка с неговата имуществена отговорност и потенциалните санкции, които може да му бъдат наложени. Едно би било положението, ако вирус или друг малуер (malware), напр. троянски кон (trojan), ренсъмуер (ransomware) и др., единствено форматира хард диска на заразен компютър, но съвсем друго, ако се разпрати до всички имейл контакти на заразен компютър и оттам инфектира и нанесе допълнителни поражения. От значение също така са и много други въпроси, вкл. дали напр. е налице бекап (backup) сървър и дали същият е локален или облачен (cloud), дали даден вирус е полиморфен, дали данните са били симетрично или асиметрично криптирани, дали за даден ренсъмуер има наличен декриптор (decryptor) и т.н.
  • Описание на предприетите от администратора мерки. Това е въпрос, който е почти изцяло в компетентността на IT специалистите или IT отдела на администратора на лични данни, но не бива да се неглижира и правилното описание на предприетите мерки. Защото същите може да са на практика най-ефективните, но ако не са добре законово обосновани, това може да доведе до значително по-неприятни за администратора последици.

Видеоконференция по гражданско дело съгласно ГПК

Време за прочитане : 2 минути
 

Видеоконференцията по граждански дела беше въведена като възможност в ГПК в края на 2020г. Най-вече превдив това, че съдът не може да спре работа дори в условията на глобалната пандемия от COVID-19, въпреки че в самото начало – в периода март – май 2020г. дори това се случи. Съдилищата спряха работа, а насрочените съдебни заседания се отлагаха напред във времето. Дори е момента съдилищата значително са забавили своята дейност – в по-дълъг период от време не се нарочват заседания, решенията по делата често се бавят повече от посочения в закона едномесечен срок (имайте предвид, че все пак този срок е само инструктивен). Преди няколко седмици съдилищата имаха идея до края на годината да излязат в съдебна ваканция, което обаче не беше посрещнато с възторг нито от граждани, нито от адвокати.

В тази връзка, още в началото на пандемията съдилищата и други институции започнаха да вършат част от работата си дистанционно – чрез видеоконференция. От скоро това вече е законово регламентирано в процесуалните ни кодекси – АПК, ГПК и НПК.

В ГПК видеоконференцията е определена като „комуникационна връзка чрез техническо средство за едновременно предаване и приемане на образ и звук между участниците в процеса, намиращи се на различни места, позволяващи записване и съхраняване на информация на електронен носител“. В една такава връзка могат да вземат участие страните по едно гражданско дело, вещите лица, свидетелите, преводачите и тълковниците. В това число, разбира се трябва да включим и защитниците на страните в процеса – техните адвокати. Всяко едно от изброените лица може да поиска да участва в съдебно заседание чрез видеоконференция. Тя се осъществява в сградата на районния съд по местоживеене на съответния участник. Това означава, че ако Вие живеете в София, а делото се разглежда от съд в Пловдив, няма да е нужно да отидете на място в Пловдив, но ще трябва да се явите пред районния съд в София, където да бъдете идентифицирани от служителите и след това да участвате в съдебното заседание чрез видеоразговор. Това е необходимо с оглед на удостоверяване, че реално лицето, което трябва да вземе участие в заседанието на съда, е това, с което се провежда видео разговора.

Както при всяко съдебно заседание, и в този случай ще бъде изготвен протокол от заседанието, в който ще бъде посочено и името на служителя, който ви е идентифицирал преди започване на видеоконференцията. Възможно е да се направи и звукозапис на самото заседание и по него след това да се изготви протокола. Самият запис от видео разговора, също се прилага към материалите по делото.

Видеоконференцията обаче не е позволена във всички случаи. Кодексът казва, че е допустима, когато страните, свидетелите и вещите лица „не са в състояние да се явят непосредствено пред съда по делото и се намират извън съдебния район“. Интересното е, че не е предвидена изричната възможност да се извършва видеоконференция в ситуацията на извънредна епидемична обстановка, с цел да не се събират много и различни хора на едно и също място.

Дали видеоконферентната връзка ще се наложи в гражданския процес и ще бъде ли реално приложима и в кои случаи, ще разберем с течение на времето. Дотогава единствената опция да не се явявате лично по гражданско дело, по което интересите Ви желаете да бъдат представлявани, е да ангажирате доверен адвокат.

Длъжностно лице по защита на данните – задължително ли е назначаването на ДЛЗД и каква е функцията му

Време за прочитане : 4 минути
 

Длъжностно лице по защита на личните данни (ДЛЗД) стана особено популярна, а в някои случаи и задължителна фигура след влизането в сила през 2018 на новия Регламент за защита на личните данни (GDPR), който изведе на хоризонта една нова фигура, която е натоварена с немалко задачи във връзка със спазване разпоредбите на европейското законодателство. Регламентът има пряко приложение в държавите-членки и не е задължително допълнително уреждане на неговата материя и на национално ниво. Въпреки това обаче,  след повече от година от влизането в сила на Регламента, бяха променени Законът за защита на личните данни, както и други национални актове, които почти дословно имплементираха разпоредбите на европейския акт.

Длъжностното лицe по защита на данните (ДЛЗД), известно на английски език като Data Protection Officer (DPO), е ново както за българското, така и за по-голяма част от европейското общество и бизнес. Въпреки множеството спекулации, че именно това лице ще утежни бизнеса, това не е точно така. Основно поради факта, че не всяка фирма или организация трябва задължително да назначи свое ДЛЗД. Има три случая, в които обаче това е неизбежно и задължително. Те са:

  1. Публичен административен орган – такива са например общините, НАП, НОИ, КАТ и др. като в това число влизат всички държавни и общински публични сектори.
  2. При мащабно наблюдение на различни физически лица като основна дейност – под „мащабно“ се взема предвид: броя на засегнатите лица; обем на обработваните данни; продължителността на обработването. Според компетентния в случая орган – Работната група по чл. 29, типични примери за мащабно наблюдение са:
    1. Дейността на една болница при обработване на данните за здравословното състояние на пациентите
    1. Обработване на лични данни, включително местоположение, от доставчици на интернет или телефонни услуги
    1. Не е мащабно обработването на лични данни от отделен лекар или адвокат
  3. Обработване на „чувствителни“ данни (данни за расова или етническа принадлежност, политически възгледи и убеждения, здравословно състояние, сексуална ориентация и други).

Освен в тези изрично упоменати в Регламента случаи, всяка фирма (малка или голяма), предприятие или организация, дори и да няма задължение да назначи длъжностно лице по защита на данните (ДЛЗД), може да го направи и това в никакъв случай не би било грешно. Напротив, това е една от стъпките, с помощта на които организацията ясно може да докаже спазването на GDPR. Към назначаването на такова лице има още няколко съществени елемента.

Според новото европейско законодателство в областта на защитата на личните данни няма точни и конкретни изисквания, на които следва задължително да отговаря длъжностното лице по защита на личните данни. То се назначава с оглед на неговите професионални качества, като според становище на Комисията за защита на личните данни ДЛЗД е необходимо да притежава задълбочени експертни познания в областта на законодателството и практиката за защитата на личните данни, напр. адвокат, специализиращ именно в тази област. Срещу символична месечна сума един опитен адвокат – експерт в областта на защитата на личните данни би могъл да консултира професионално и по този начин да предотврати налагането на санкции на дадено предприятие за неспазване на действащото законодателство и GDPR. Освен това може да следи за всякакви промени в националното и европейското законодателство и да препоръча или съдейства с актуализацията на документацията за съответствие с GDPR. И не на последно място – да комуникира със субектите на лични данни (напр. отправили искане или жалба до търговеца) или с Комисията за защита на личните данни. Обикновено тази услуга не изисква ежедневни ангажименти и поради това, изненадващо или не, наемането на адвокат, който за изпълнява функцията на ДЛЗД, е значително по-евтино от наемането на отделен служител на трудов договор в предприятието.

Тъй като с навлизането на този Регламент, бизнесът не на шега се стресна от факта, че трябва да вложи доста финансови средства по съобразяването си с него, трябва да кажем също, че не е необходимо длъжностното лице, което ще обслужва дадена организация за защита на личните данни, да е новоназначено външно лице. Това може да бъде и вътрешно лице – част от персонала на предприятието, което да бъде назначено с изрична заповед на длъжност, която не е изрично предвидена в Регламента, но обикновено бива наименувана „Отговорник по защита на личните данни“. При по-големите компании, най-вече тези, които не оперират само в едно населено място или държава, е важно да се спомене, че група предприятия могат да назначат и само едно ДЛЗД за всички предприятия. Но условието е, че трябва да има осигурен достъп до него от всяко предприятие. Разбира се, тук „достъп“ не бива да се приема в буквалния смисъл на физически достъп до лицето. Достатъчно е по всяко време и от всяко място субектът на данните да има връзка с ДЛЗД. Преди това длъжностното лице задължително трябва да е официално представено като такова на всички работници или служители в организацията или предприятието.

Във връзка с горното, една от основните задачи на администраторите и на обработващите лични данни е да публикуват и да направят достъпни данните за контакт с ДЛЗД. Тази информация следва да се доведе до знанието и на надзорния орган в лицето на Комисията по защита на личните данни (за България). Това е така поради факта, че една от основните функции на това лице и именно да си сътрудничи постоянно с този водещ орган. Именно в тази връзка от Комисията за защита на личните данни направиха специално уведомление за назначаване на ДЛЗД. Това уведомление се изготвя от администратора на лични данни и се изпраща до Комисията. За това няма определен срок, нито санкция, ако не бъде сторено.

Изготвянето на оценка на въздействието върху защитата на данните е една от областите, в които ДЛЗД може да е от изключителна полза. Формално погледнато самата оценка на въздействието върху защитата на данните се прави от администратора на лични данни, но ДЛЗД може да подпомага неговата дейност, като даде своето становище, мнение, насоки и други. Администраторът и обработващите лични данни са длъжни да осигурят на длъжностното лице необходимите ресурси за изпълнение на неговите задачи, а също и неговата пълна независимост (от администратора и обработващия) – никой не може да влияе на неговите решения и политики за защита на данните. Не може да се допуска по какъвто и да е начин да се влияе върху неговата преценка, когато тя е свързана със защита на личните данни.

Сред основните задачи, които следва да изпълнява ДЛЗД са:

  1. Да отговаря на всички въпроси, отправени към него, от страна на субектите на данните – какви лични данни се обработват, как се съхраняват и всяка друга информация, свързана с тези данни
  2. Съветва администратора или обработващия личните данни по принципни положения, свързани с приложението на Регламента, както и по конкретни казуси, възникнали в практиката на предприятието
  3. Да съблюдава извършването на оценка на въздействието върху защитата на данните и да дава съвети и оказва помощ по нея
  4. Да подпомага по всякакъв възможен начин администратора или обработващия личните данни във връзка със защитата на техните права и бизнес интерес
  5. Да сътрудничи и да се консултира с надзорния орган (КЗЛД) като представител на администратора или обработващия лични данни

Наред с тези задачи, длъжностното лице може да изпълнява и други задачи, възложени му от администратора или обработващия личните данни, стига тези други задачи да не водят до конфликт на интереси с функцията му по спазване Регламент 2016/679 ЕС. В този аспект като пример за конфликт на интереси, може да се посочи, че длъжностно лице по защита на данните не може да бъде ръководите, управител на самата организация, главен или изпълнителен директор и други подобни длъжности.

Деклариране на електронен магазин в НАП и изисквания по Наредба Н-18

Време за прочитане : 2 минути
 

Съгласно последните изменения на важната и много коментирана в последно време Наредба № Н-18 относно новите правила за отчитане на фискалните устройства от търговците, вече и тези, които търгуват посредством онлайн магазини, ще имат нови задължения. Ето в какво се състоят те накратко:

На първо място, всички онлайн търговци, които вече осъществяват дейността си чрез продажби през електронен магазин, трябваше да декларират този факт в НАП. Срокът за това беше 29 юни 2019г. Това задължение не е отпаднало и тази информация се подава независимо дали електронният магазин е собственост на търговеца или той го ползва под наем. Също така, ако един търговец има повече от един подобен магазин, той следва да регистрира всеки един от тях поотделно.

Горните задължения се отнасят и до търговци, които смятат за напред да извършват своята дейност чрез електронен магазин. Разбира се, за тях няма фиксирана дата за регистрация. Тя трябва да бъде извършена преди започване на онлайн продажбите.

Както за настоящите, така и за бъдещите онлайн търговци важи един и същ срок относно обявяването на промени в обстоятелствата около дейността им, вкл. нейното прекратяван и той е 7-дневен.

Агенцията вече поддържа актуален публичен списък с всички регистрирани електронни магазини. Разбира се, за неизпълнение на новите задължения законодателят е предвидил и санкции. Интересното обаче е, че те не са парични или имуществени. Като за начало, при констатиране на несъответствие, НАП уведомява по електронен път търговеца, като му дава срок от 7 дни, в който същите да бъдат отстранени. Ако този срок не бъде спазен, електронният магазин ще бъде заличен от списъка на НАП и по този начин той няма да може да извършва легално дейността си.

Задължените лица регистрират онлайн магазините си чрез електронен подпис. Те пак имат задължение за отчитане на продажбите чрез фискален или системен бон, който обаче не е задължително да се отпечатва на хартия, достатъчно е да е в електронна форма и да бъде изпратен по електронен път на клиента (по имейл или друг начин). Търговецът обаче е длъжен да пази данни за неговото изпращане, което да послужи като доказателство в случай на евентуално данъчна проверка. Освен това търговецът трябва да предостави възможност за копиране на данните и експорт, както и да пази цялата база данни, вкл. архив на информацията, свързана с дейността на електронния магазин.

В началото на 2020г. бяха обнародвани още промени в Наредба Н-18 и още изисквания за търговците. Много голяма част от тях се обявиха против тях с идеята, че нововъведенията ще утежнят изключително много бизнеса им, както и че сроковете, които бяха визирани в началото, са крайно недостатъчни. Така правителството реши, че ще отложи с няколко месеца влизането в сила на промените. Сега, до 31 юли 2020г. онлайн търговците трябва да приведат дейността си в съответствие с изискванията на Наредбата.

Ето и какви са те накратко:

  • Електронните магазини могат да се освободят от задължението си за наличие на касов апарат. Как? Когато се извършват неприсъствени плащания с дебитна или кредитна карта чрез виртуален ПОС терминал. В тези случаи софтуерът за управление на продажбите (СУПТО) трябва да генерира специален код, който да е уникален за всяка отделна поръчка на стока или услуга. Посоченият софтуер не може да бъде използван управление на продажби по друг начин, т.е. извън обхвата на конкретния електронен магазин.
  • Въпреки че търговецът няма задължение за издаване на фискален бон, той все пак трябва да издаде документ, който да регистрира конкретната продажба. Съдържанието на този документ е посочено в чл. 52о, ал. 1 от Наредба Н-18. При плащанията чрез виртуален ПОС терминал клиентът трябва да получи този документ по електронен път – например на електронната си поща.
  • Деклариране в НАП – освен посоченото по-горе в статията задължение за деклариране на самия онлайн магазин, от началото на тази година, търговците трябва да посочат пред приходната агенция и информация за методите на плащане, които използва, договор с доставчик на платежни услуги за ползването на виртуалния ПОС терминал, вкл. неговият номер, платежните сметки, по които получава плащанията, QR код.
  • Онлайн търговците имат задължение да изпращат по електронен път към НАП одиторски файл, който да съдържа информация за направените през съответния месец продажби. Тази информация задължително се изпраща до 15-то число на месеца, следващ този, за който се отнасят продажбите (например файлът с продажбите за месец март се изпраща до 15 април).  

Правото „да бъдеш забравен“ или ограничаване на обработването на лични данни при телефонен тормоз от банки и кредитори

Време за прочитане : 3 минути
 

Правото „да бъде забравен“ даден човек е един сравнително нов термин свързан с личните данни и в частност интернет активността на физическите лица. Приложението му е вече ефективно въведено от големите корпорации в IT бранша, а и допълнително разширено с влизането в сила през 2018 на новия общоевропейски Регламент (ЕС) 2016/679 за защита на личните данни. Право „да бъде забравено“ има всяко физическо лице (това право е неприложимо за търговски дружества и юридически лица), чиито лични данни най-общо казано някога са попаднали в интернет пространството или у офлайн администратори на лични данни (напр. банки, кредитни институции, колекторски фирми и т.н.). По същество, това е право на физическото лице да поиска негови лични данни да бъдат изтрити (т.е. администраторът на лични данни, който ги е получил на законно или незаконно основание, да спре използването и предоставянето им на трети лица).

По закон това право може най-често да бъде упражнено в 2 хипотези:

  1. Когато физическото лице е дало съгласие на администратор на лични данни (напр. при регистрация в онлайн директория, имейл услуга и т.н.) да обработва неговите лични данни или
  2. Когато това право произтича от договор (напр. банка или фирма за бързи кредити е отпуснала заем на лицето, онлайн магазин, от който лицето е закупило стока и т.н.)

Именно в последния случай мнозина граждани се оплакват от „психически тормоз по телефона“ от банки, колекторски фирми и др. Въпросният тормоз по телефона се изразява в многократни покани, обикновено отправяни от кредитор към длъжник, срещу които длъжникът възразява. Всъщност адресатът на въпросния психически тормоз не възразява против това, че има задължения, но има против това служители на кредитодателя да го притесняват многократно по телефона, нерядко в неподходящо време. Имайки предвид, че няма закон за телефонния тормоз, нито за такъв психически тормоз се носи наказателна отговорност (освен ако не е напр. закана за убийство, което е престъпление), тогава на помощ идва правото „да бъде забравен“ адресата на споменатия психически телефонен тормоз.

Съгласно новия Регламент за защита на личните данни субект на лични данни (т.е. лицето чиито лични данни се събират и обработват) не може да поиска да бъде „напълно забравен“ при положение, че има непогасени задължения, а кредиторът има право да претендира вземанията си, но длъжникът има пълно право да поиска да бъдат изтрити някои негови конкретни лични данни, които нямат пряка връзка с изпълнението на задълженията му. Напр. длъжник по банков кредит или адресат на телефонен тормоз от колекторска фирма няма право да иска изтриването на неговите имена, ЕГН и пр. данни, които го индивидуализират като длъжник по договор и без които кредиторът няма да може ефективно да предяви вземанията си (напр. банката няма да може да подаде искова молба в съда без да разполага с имената на длъжника), но има други лични данни, които по никакъв начин не са в пряка връзка с изпълнението на задълженията на длъжника по даден договор – напр. телефонният му номер.

Предвид горното, всеки длъжник, който бива тормозен по телефона, независимо дали по един правомерен (напр. покана доброволно да погаси задълженията си) или незаконосъобразен начин (напр. заплахи за действия, които могат да бъдат предприети при неизпълнение на задълженията му) – може да изиска от съответното дружество – администратор на лични данни (банка, финансова институция, факторинг дружество, колекторска фирма и т.н.) да изтрие и спре използването на някои негови лични данни, вкл. телефонния му номер.

Трябва да имате предвид обаче, че дори и да се позовете на това свое право, администраторът на лични данни (например банката или колекторската фирма) може да възрази и да откаже да изтрие личните ви данни, защото счита, че неговият интерес има преимущество пред този на субекта на данните (физическото лице, което бива тормозено по телефон или имейл). Горепосоченият Регламент му дава това право, но следва то да бъде доказано.

Друга възможност, която предоставя Регламента за защита на личните данни на физическите лице е свързано с ограничаване обработването на личните им данни. Какво означава това? Най-просто казано, това е алтернатива на „правото да бъдеш забравен“, защото не изисква от администратора да изтрие напълно личните данни, с които разполага, а само да спре да ги използва. Той може да ги съхрани за определен период от време, но няма право да ги използва. С две думи – ако поискате да бъдат ограничени телефонният ви номер и електронната поща, то администраторът трябва да преустанови тормозещата си практика по този начин.

Препоръчително е заявлението за изтриване или за ограничаване обработването на лични данни от страна на физическото лице да бъде направено в писмена форма, тъй като устните волеизявления на практика трудно могат да бъдат доказани, а е добре да има писмено доказателство за обстоятелствата, свързани с гореизяснения психически тормоз. Ако е налице изрично писмено волеизявление в тази насока и администраторът на лични данни продължи да използва тези лични данни, които субектът на лични данни (физическото лице) изрично е забранил да бъдат използвани или е поскал да бъдат „забравени“ – тогава това физическо лице има право на жалба до Комисията за защита на личните данни, която съгласно новия Регламент за защита на личните данни има компетентност да налага огромни по размер санкции (до 20 милиона евро). Следва да бъде изрично обърнато внимание, че това не трябва да бъде жалба срещу телефонен тормоз, а жалба за неспазване на закона от администратор на лични данни. Ако комисията за защита на личните данни бъде сезирана с жалба за телефонен, психически или какъвто и да е друг тормоз, то тя няма да се произнесе по нея предвид липсата на компетентност.

Фирми без дейност подават декларация за неактивност в ТР

Време за прочитане : 2 минути
 

Фирми без дейност – какво подават в Търговския регистър? Това е изключително популярен въпрос, особено в условията на обявено извънредно положение, а отговорът е, че фирми без дейност не публикуват годишни финансови отчети (ГФО) в Търговския регистър (ТР), а вместо това дружествата подават т.нар. „декларация за неактивност“ (декларация, че не са извършвали дейност) в Агенцията по вписванията (АВ), което е нововъведение от 2018. Освен това декларациите за неактивност могат да бъдат подадени лично от представител на фирмата или упълномощен адвокат, но не и от счетоводителя на съответното дружество. Предвид тази законова промяна в общественото пространство започна да се спекулира колко големи облекчения било предвидило законодателството във връзка с отчетността на неработещите фирми и за отпадането на т.нар. „нулеви декларации и финансови отчети“. Действително облекчения за неработещи дружества има, но задължението за подаване на отчетна информация към институциите остава, а сроковете и процедурите се промениха, което породи объркване у собственици, управители и счетоводители.

Бързата съпоставка с досегашната практика сочи, че до началото на 2018 дружествата имаха задължението да подават счетоводна отчетна информация до три различни институции, независимо от това дали през отчетния период са извършвали дейност или не. На първо място, всички фирми без дейност подаваха „нулева“ годишна данъчна декларация по чл. 92 от Закона за корпоративното подоходно облагане (ЗКПО) към съответното териториално подразделение на НАП по адреса на регистрация на дружеството. На следващо място, дружествата подаваха информация, че не осъществяват дейност в ИС „Бизнес статистика“ по регион към Националния статистически институт и трети път публикува годишните си финансови отчети в Агенцията по вписванията, Търговски регистър, като заплащаха такса за самото публикуване.

За първи път през 2018, в резултат на промени в Закона за корпоративното подоходно облагане, за предприятията, които не са осъществявали дейност през 2017 г. по смисъла на Закона за счетоводството, отпада задължението да подават годишна данъчна декларация в НАП. За тези, които не са сигурни дали попадат в категорията „без дейност“, Закона за счетоводството дава следната дефиниция:

„Предприятия, които не са осъществявали дейност през отчетния период“ са предприятия, за които едновременно са налице следните условия:

  1. през отчетния период не са извършвали сделки по чл. 1, ал. 1 от Търговския закон;
  2. през отчетния период не са възникнали условия да бъде признат приход съгласно Закона за счетоводството и приложимите счетоводни стандарти;
  3. не са осъществявали дейност, свързана с инвестиции, производство и/или продажба;
  4. не са осъществявали покупка на стоки и услуги с цел получаване на доходи и печалби.“

С други думи, ако имате фирма с открита банкова сметка, по която се начисляват банкови такси, плащате на счетоводител за подаване на нулево ДДС и само някои основни данъци и такси, то фирмата Ви е без дейност и може да се възползвате от облекчението.

Това е чудесно, но как държавата да разбере, че дружеството не е извършвало дейност през отчетния период? Отговорът е – чрез подаването на декларация за неактивност. Проблемът е, че ще трябва да бъде подадена два пъти на две различни места. Съгласно промените в Закона за счетоводството, фирмите без дейност се освобождават от задължението да публикуват годишни финансови отчети в Търговския регистър. Вместо това обаче, те трябва да подадат в срок до 31.03., декларация, че не са извършвали дейност. Декларацията се подава със заявление Г2, като към него се прилага и декларация истинност. Добрата новина е, че такса не се дължи. Заявлението може да се подаде лично „на гише“ в Агенцията по вписванията от управителя на дружеството или онлайн, ако дружеството има електронен подпис, както и от адвокат с адвокатско пълномощно.

Трябва да се подчертае, че Търговският регистър излезе с изрично становище, че декларацията за неактивност, не може да се подаде от счетоводителя на фирмата, тъй като счетоводителите имат право да подават само в качеството им на съставители на финансови отчети, а такива на практика сега не се изготвят. За целта може да Ви съдейства само адвокат, като предимството е, че за извършване на гореописаните действия от адвокати не се изисква нотариално заверено пълномощно.

В допълнение към подаването на пакета от документи към Търговския регистър, дружествата имат задължение да обявят факта, че не извършват дейност и към Националния статистически институт (НСИ), като подадат декларация по образец. Декларацията може да се подаде на имейл адрес (подписана, подпечатана и сканирана) или в съответните териториални структури на НСИ на хартиен носител, а срокът за това е до 30.04.2018.

От 2020 вече има образец на декларацията за неактивност и ТР ще приема само декларации, които са изготвени по образеца. Декларации в свободна форма няма да се приемат. Във връзка с пандемията от коронавирус обявеното извънредно положение, през 2020 срокът за подаване на документите е удължен до 30 юни 2020г.